Чему вы научитесь

Понимать, какие уязвимости бывают в веб-приложениях и API
Отличать баги от рисков, которые реально угрожают бизнесу
Находить ошибки в логике и проверках доступа
Проверять безопасность обычных фич: логин, заказы, профили, купоны
Формулировать уязвимости как понятные баг-репорты
Тестировать безопасность ручками: без сложных скриптов
Использовать Burp Suite и другие инструменты для базового пентеста
Имитировать атаки вроде IDOR, XSS, SSRF, CSRF, Race Condition
Разбираться в приоритете уязвимостей: что критично, а что нет
Добавлять проверку безопасности в обычные тест-кейсы и чек-листы

О курсе

Этот курс поможет тестировщику системно подойти к вопросам безопасности: понять, где искать уязвимости, как их отличать от обычных багов, как оценивать риски и взаимодействовать с безопасниками.

Разбираются реальные уязвимости в веб-приложениях и API — от IDOR и XSS до ошибок бизнес-логики, SSRF, race condition и небезопасной авторизации. Всё объясняется с точки зрения QA: как находить, как тестировать, как описывать.

Материал ориентирован на практику и легко встраивается в повседневную работу — без избыточной теории или "хакинга ради хакинга".

Удобный формат теории — весь материал представлен в виде лаконичных конспектов и скриншотов.
Полезные практические задания — как авторские, так и с отсылкой к реальным платформам.
Проверка заданий — все задания проходят либо автоматическую, либо ручную проверку. В случае ручной — вы получите развёрнутую обратную связь с пояснениями.
Подготовка к собеседованиям — многие теоретические блоки структурированы как ответы на реальные вопросы рекрутеров.
Регулярные обновления — курс пополняется актуальными материалами, чтобы вы оставались в контексте рынка.

Этот курс — уверенный старт в направлении безопасного тестирования и понимания уязвимостей. Если будут вопросы или идеи по улучшению — всегда можно написать напрямую.

Telegram: @t41p4n

Для кого этот курс

Курс предназначен для QA-специалистов, которые хотят углубиться в тему безопасности, научиться находить уязвимости и лучше понимать, как защищены (или не защищены) веб-приложения и API. Подойдёт ручным тестировщикам, которым важно выходить за рамки позитивных сценариев и оценивать риски на уровне логики, ролей и доступа — без необходимости становиться хакером или программистом.

Начальные требования

Базовые знания в области тестирования веб-приложений
Понимание HTTP-запросов, ролей пользователей и авторизации
Опыт работы с Postman, DevTools или аналогичными инструментами
Желание разобраться в безопасности — без необходимости писать код или знать внутренности протоколов
Умение устанавливать инструменты из GitHub, пользоваться терминалом, ставить зависимости и запускать утилиты (например, ffuf, nmap, dockerized-проекты)

Наши преподаватели

Как проходит обучение

Обучение проходит в онлайн-формате, в удобное для вас время.
Курс включает теоретические модули, практические задания и проверку знаний через тесты и кейсы.
Нет необходимости писать код — упор на понимание, ручную проверку и грамотное описание уязвимостей.
Инструменты — Burp Suite, браузерные DevTools, sqlmap, nmap и т.д.
Применённый формат: смотри, пробуй, анализируй.

Программа курса

Сертификат

Сертификат Stepik

Входит в 1 программу

Что вы получаете

Практические навыки поиска уязвимостей в веб-приложениях и API
Понимание, как отличать баги от рисков и приоритизировать находки
Умение тестировать безопасность логики, ролей, авторизации и данных
Знание актуальных уязвимостей: BOLA, IDOR, XSS, SSRF, CSRF, Race Condition
Опыт работы с различными инструментами
Практика с мини-лабораториями
Сертификат о завершении курса
Готовые сценарии и шаблоны для чек-листов и TMS
База для роста в сторону пентеста или баг-баунти

Сколько стоит обучение

Часто задаваемые вопросы

Как оплатить курс в рассрочку?

Как оплатить от компании?

Расскажите о курсе друзьям

Прямая ссылка на курс:
https://stepik.org/240387

Pentest для QA на стероидах